【図表】
身代金要求メッセージ
出典: https://blog.kaspersky.co.jp/synack-ransomware-featured/20327/
【概要】
- SynAckとは
- Process Doppelgängingという手法を使用
- コンパイル前にコードを厳重に難読化
- プロセスドッペルギャンギングとは
- NTFSファイルシステムの一部機能とWindows XP以降の全Windowsに搭載のプロセスローダーを利用
- その他のSynAckの機能
- 正しいディレクトリにインストールされているかを自己チェックする機能(サンドボックスによる検知回避)
- 感染したコンピューターのキーボード設定を確認する機能 (マルウェアの活動を特定地域に限定)
- キーボード設定がキリル文字の場合は動作
【ブログ】
◆SynAck:プロセスドッペルギャンギングで検知を回避するランサムウェア (Kaspersky, 2018/5/11)
https://blog.kaspersky.co.jp/synack-ransomware-featured/20327/
【関連まとめ記事】
◆Process Doppelgänging (まとめ)
https://malware-log.hatenablog.com/entry/Process_Doppelganging
◆検知回避 (まとめ)
https://malware-log.hatenablog.com/entry/Detection_Avoidance